[LUGOS] Problemi z varnostjo
Stojan Rancic
stojan at aufbix.org
Tue Apr 26 10:30:10 CEST 2005
Tadej Poberaj wrote:
> Pozdravljeni.
>
> Imam sledeči problem:
>
> Za web direktorije, ki se nahajajo na apache root direktoriju
> /var/www/html/user1
> /var/www/html/uese2
>
> imam narejene soft links na home direktorije
> /home/user1/www
> /home/user2/www
>
> To sem naredil zato, da bi se lahko tudi manj iznajdljivi uporabniki lažje
> nalagali podatke na svoje spletne strani. Problem se pa pojavizato, ker
> sem moral home direktorije vseh uporabnikov nastaviti na mode 755, torej
> si sedaj lahko uporabniki med seboj gledajo datoteke, to pa ni bil cilj.
Tu imas vsaj dve resitvi:
- DocumentRoot za dolocen VirtualHost lahko kaze direktno na uporabnikov
/home/user/www .. zakaj rabis symlinke ?
- Apache podpira suexec modul, kjer lahko vsakemu hostu (vsaj od Apache
2.x naprej) dolocis, kot kateri UID/GID bo apache tam tekel, torej lahko
nastavis, da za vsak vhost apache tece kot tocno tisti uporabnik in ne
rabis prekrivanja pravic
> Zanima me kako imate drugi urejene te stvari. Pomislil sem tudi na to, da
> bi vsakega uporabnika omejil le ne svoj domači direktorij in tako
> preprečil premikanje po datotečnem sistemu. To se v ftpju da narediti,
> vendar imajo vsi uporabniki tudi shell accaunt.
V /etc/shells lahko ti dodas tudi /dev/null, katerga lahko potem das
uporabniku kot shell, in se bo lahko prijavil gor preko FTPja, v
chrootano okolje, od koder ne more ravno trivialno 'pobegniti' ven.
LP, Stojan
More information about the lugos-list
mailing list